導入事例

VEXの導入によって開発者のセキュリティへの意識が高まり、より高品質なアプリケーション開発を実現しました。

純国産Webアプリケーション脆弱性検査ツール「VEX」。株式会社オージス総研様は2007年からVEXを導入され、自社で開発している様々なアプリケーションの脆弱性検査にご利用いただいています。

導入企業様のご紹介

株式会社オージス総研 様

  • ソリューション開発本部 エネルギーソリューション第一部 部長 大熊 康太郎 様ソリューション開発本部
    エネルギーソリューション第一部

    部長
    大熊 康太郎 様
  • ソリューション開発本部 エネルギーソリューション第一部 テクニカルサービスチームマネジャー 片岡 浩美 様ソリューション開発本部
    エネルギーソリューション第一部
    テクニカルサービスチームマネジャー
    片岡 浩美 様
  • ソリューション開発本部 エネルギーソリューション第一部 テクニカルサービスチーム 瀧川 裕史 様ソリューション開発本部
    エネルギーソリューション第一部
    テクニカルサービスチーム
    瀧川 裕史 様

1983年の設立以来30年間にわたり、親会社である大阪ガス株式会社様をはじめ様々な大手企業にITソリューション/コンサルティングサービスを提供している。オブジェクト指向開発やUML(統一モデリング言語)のパイオニアとして、システム開発だけでなく、教育、コンサルティング、インフラ構築、データセンター、クラウドサービス、EC/EDI、BPOなど、あらゆる顧客ニーズに応える体制を整えている。激変するビジネスを支えるシステムの長期持続を目指す「百年アーキテクチャ」をキーワードに、オープンソースやアジャイル開発など新たな開発手法も積極的に取り入れている。

ソリューション開発本部エネルギーソリューション第一部では、Javaフレームワークやミドルウェア、各種共通機能、開発標準などの分野で様々なアプリケーション開発に横断的に携わっている。

企業のセキュリティに対する意識の高まりを実感。

「当社では大手企業をはじめとする、様々な企業向けのシステム開発、インフラ構築などを長年続けてきました。クライアントは非常に重要な情報を多数扱っていますから、情報漏洩対策への意識は以前から高いです。一方で、ご存知のようにハッカーの手口は日に日に巧妙化しており、以前は安心だと思われていたシステムに数年後、重大な脆弱性が見つかるという事態も珍しくありません。そこで、お客様側における対策として、セキュリティに関連する基盤を整備すると共に、システムやアプケーション開発におけるセキュリティについてのルールづくりが進みました。 当然、私たちとしても、それに則って開発・納品することが品質管理上欠かせなくなってきたのです」(大熊)

「私はつい数ヶ月前まで開発メンバーとして、直接クライアントとやり取りする立場で働いていました。セキュリティの問題に関してクライアントにご説明する時に難しいのは、“脆弱性に対するチェック対策を強化しました”とお伝えしたとしても、それが決して見た目には表れないことです。使い勝手や機能のように利便性の向上が実感できるものではないので、“そんなにそこにお金を費やすべきなんですか?”と疑問に思われてしまいがちです。ところがここ数年、個人情報・機密情報の流出が起きています。“次は自分たちの身の回りで起こるかもしれない”という危機感が大きく広まり、最近ではクライアントから “セキュリティ面を強化したい”といったご相談を受けることが増えてきました。従って、私たちも、“これならセキュリティも万全!”と自分たちが納得したうえでアプリケーションを納品することが、開発者の義務だと考えるようになりました。至極当然の展開だったと言えます」(片岡)

VEX採用の一番の決め手は、検査結果の信頼性でした。

「入社後しばらくはインフラ構築を担当していましたが、現在はエネルギーソリューション部隊をはじめとする開発部隊が開発したアプリケーションの脆弱性検査を行っています。VEX導入以前は、海外ベンダーの脆弱性検査ツールを使っていました。しかし、ライセンス料金が高価であったため、複数のサーバを検査できるライセンスを購入できず、サーバ1台しか検査できないことが悩みの種でした。そんな時に関連会社からVEXを紹介してもらい、試してみることにしました」(瀧川)

「実際にVEXを使ってみて、いくつもの発見と業務上の変化がありました。まず私が実感したのは、以前使っていたツールとは“設計思想や機能の深さが全く違う!”ということですね。以前のツールではWebサイトの巡回をしたらすぐに検査がはじまり、ボタン一つで診断という流れでした。VEXの場合は全てツール任せにするのではなく、サイト巡回後にユーザー自身が目的に応じて最低限の設定をする必要があります。最初はその設定画面に表示される言葉の意味も分からなかったのですが、一度覚えてしまえばその後は全く大丈夫でした」(瀧川)

「以前のツールでは“本当にこの検査結果は正しいの?”と疑問に思うことも多々ありましたが、その疑問を解消する手段はありませんでした。VEXを使うようになってからは、詳細な設定ができるので検査結果により自信が持てるようになりましたね。一見、以前のツールのほうが簡単で楽に思えるのですが、検査内容の幅広さや検査結果の信頼性については、断然VEXのほうが優れていると感じました」(瀧川)

「併せて、以前の課題であった複数サーバの検査についても問題なく解決できたため、最終的にVEXの採用を決定しました。VEXの採用後は、より多くの開発案件が検査を受けることになり、自ずと部内開発者のセキュリティに関する意識が高まりましたね」(片岡)

今後は、急増するスマートデバイス関連の開発に活用していきたい。

「VEXは検出結果のレポート機能も充実していますね。海外ベンダー製品ではベースが英語で、日本語パッチをあてても一部英文が混じっていたりするので、そのままクライアントに見せられるレベルではありません。VEXの場合は詳細レポートからサマリレポートまで様々なフォーマットに対応していて、診断結果を色鮮やかな資料として見ることができるので、開発者にもクライアントにも好評です。脆弱性検査のレポートというのは、いわば学校の成績表のようなもの。クライアントがそのレポートをご覧になり、“良かった! 今回は何もなかったね!”と私たちと一緒に喜んで下さるわけです」(片岡)

「脆弱性検査ツールを使う理由は、クライアントに対してきちんとした基準に則って“誰が検査してもこの結果になります”、と客観的に説明できることにあると思います。手作業で検査すると、検査する人のスキルによって検査結果が変わってしまう可能性があり、検査品質にバラツキが出てしまいます。開発者はセキュリティの専門家ではありませんから、脆弱性検査についてはVEXを使って客観的に検査することがベストでしょうね」(瀧川)

「2000年代中盤あたりに、ウェブの脆弱性が非常に問題になったことがありました。それに近いことが、今度はスマートデバイスの分野で起きています。急速に普及しているデバイスですから、セキュリティ対応がまだ追いついていないんですね。当社でもスマートデバイス対応の開発案件が増えており、検査をもっと効率化したいと考えています。ユービーセキュアさんには我々のニーズを先取りした検査ツールを他社に先駆けてつくってほしいと願っています」(大熊)

取材を終えて ~ユービーセキュアより~

これからも信頼される検査ツールベンダーであり続けるために

オージス総研様はVEXの初期ユーザー様であり、2007年のVEX導入以来、機能追加や改善点などのご要望・ご指摘を多数頂きました。リリース当初から継続して頂いた貴重なご意見が、今のVEXの礎となっています。今回の取材にも快く応じていただき、オージス総研様には大変感謝しております。
今回は、当社製品が多くのシステム構築の現場で実際に役に立っていることを伺うことができ、非常に嬉しいと同時に身が引き締まる思いです。今後もご期待にお応えできるよう、スマートデバイスに対応した検査ツールなど、より良い製品およびサービス開発に取り組んでまいる所存です。

取材日:2013年06月14日

関連製品

  • VEX

    Webアプリケーション検査の内製化を支援

    従来では手動でしか検査が行うことができなかった画面遷移が複雑なWeb アプリケーションや、入力画面と出力画面が異なるセカンドオーダーの脆弱性に対しても検査の実施が可能です。

トライアル利用、価格などについてのお問い合わせはこちらまで お問い合わせ

株式会社ユービーセキュア
営業統括部 営業部
TEL:03-5730-3033 FAX:03-5730-3055

導入事例一覧に戻る